Защита от вторжений

Что такое системы защиты от вторжений?

Системы защиты от вторжений – это программные или аппаратные комплексы, которые автоматически анализируют трафик в сети на предмет его безопасности и, в случаи обнаружения подозрительной активности, реагируют на вторжение. Реакцией может быть как простое оповещение ответственного сотрудника, так и блокировка аномального трафика в зависимости от типа системы.

Для борьбы с вторжениями используется два типа систем

Основные отличия

Преимущества

Недостатки

Системы предотвращения вторжений (IPS)

Применяются для блокировки подозрительной сетевой активности и отсеивают нелегитимный трафик. Недостатком решения является.

Позволяет не только обнаружить, но и предотвратить вторжение.

Большое количество ложных срабатываний, которые снижают производительность труда сотрудников компании и могут приводить к простоям ИТ-инфраструктуры.

Системы обнаружения вторжений (IDS)

Отслеживают аномалии в сети и сигнализируют о возможном вторжении администратору.

Позволяет бороться с вторжениями и в то же время не мешает работе пользователей. Решение о предотвращении атаки принимает администратор.

Существует риск, что администратор не успеет принять меры по предотвращению вторжения и компания успеет понести ущерб.

Как система определяет вторжение?

Для этого используется два основных метода:

Сигнатурный анализ – система сверяет активность сети с базой известных вторжений (сигнатур), которые постоянно обновляются, и сигнализирует о вторжении при совпадении активности с данным эталоном.
Определение аномалий – система анализирует нормальное состояние сети и запоминает его как эталон. В случаи значительного отклонения от него текущей сетевой активности, система определяет это как аномалию и сигнализирует об этом.

Зачем использовать IDS / IPS если уже есть файервол?

Отличие файервола в том что он просто блокирует трафик по определенным портам и пропускает только то что разрешено. Система предотвращения вторжений, в свою очередь, позволяет обнаружить попытки доступа к информации методом обхода файервола, получением неавторизованного доступа по открытым портам, или доступом изнутри сети.

Поэтому данные средства защиты рекомендуется комбинировать для усиления общей безопасности сети.
Логическая схема реализации выглядит следующим образом:

Схема 1 – Комбинированная система защиты от вторжений

Современные системы защиты от вторжений не являются «stand alone» решениями, а представляют из себя комплекс, объединяющий функции роутера, файервола и IDS/IPS.

Наша компания предлагает два основных решения в этой отрасли позиционируемых для разного типа клиентов:

Описание

Linux based router + IPS Snort

Бюджетное решение, состоящее из свободного ПО Snort установленного на сервер с бесплатной ОС Linux.

Cisco Router with IPS service contract

Профессиональное enterprise решение от компании Cisco.

Метод определения вторжений

По сигнатурам, поиск аномалий.

Уровень анализа трафика

Стоимость внедрения

Скорость развертывания

Поддержка производителя

Масштабируемость

Для каких компаний актуально

3 и 4 уровень модели OSI.

Низкая. Требуются недорогие серверные платформы и настройка комплекса.

2-4 недели.

Отсутствует.

Сильно ограничена, возможно осуществлять защиту только на границе сетей.

Желающие внедрить защиту от вторжений, но не располагающие значительным бюджетом.
Не планирующие в дальнейшем масштабироваться и которым достаточно защиты на границы сетей.
Компании уже имеющие роутеры на базе серверов Linux.

2, 3 и 4 уровень модели OSI.

Высокая. Необходимо оборудование CISCO, закупка контракта IPS, работы по настройке.

1 неделя.

Высококачественная техническая поддержка.

Высокая. Решение возможно использовать для защиты WIFI, VoIP, VPN, а также для анализа трафика внутри сети.

Компании уже имеющие роутеры и коммутаторы CISCO в качестве сетевого оборудования. В этом случаи внедрение будет гораздо дешевле.
Планирующие защиту не только на границе сети.
Желающие использовать решение от надежных поставщиков, и готовы платить за высокое качество и надежность.

Нужна помощь консультанта?